Una campaña de phishing activa con un objetivo objetivo X cuentas Individuos de alto nivel, incluidos periodistas, figuras políticas e incluso un empleado de X, para desviarlos y explotarlos para cometer fraude de criptomonedas.
Los investigadores de Sentinelabs han descubierto la campaña, que, según ellos, parece ser el más importante en X pero no se limita a una sola plataforma de redes sociales, revelaron en un Blog Blog reciente Arte. El objetivo de los atacantes es, en última instancia, utilizar el alcance potencial de las cuentas de alto impacto, que también incluyen organizaciones tecnológicas y de criptomonedas, así como propietarios de cuentas con nombres de usuarios preciosos y cortos, para personas objetivo con estafas criptográficas para una ganancia financiera, dijeron los investigadores. .
“Una vez que se reanuda una cuenta, el delantero bloquea rápidamente al propietario legítimo y comienza a publicar oportunidades de criptomonedas fraudulentas o enlaces a sitios externos diseñados para atraer objetivos adicionales, a menudo con un tema relacionado con el robo de la criptografía”, Sentinellabs amenaza Walter y Alex Delamotte escribieron en la publicación.
Al final, este compromiso de la cuenta de alto nivel, una táctica utilizada previamente por los cibercriminales, especialmente en Cuentas de Twitter de celebridades objetivo en 2020 – Permite al atacante llegar a un público más amplio de posibles víctimas secundarias, maximizando sus ganancias financieras, señaló los investigadores.
De hecho, la campaña también es similar a Un sobregiro el año pasado Esto comprometió la cuenta Linux Tech Tips X con otros usuarios de alto nivel. Los investigadores descubrieron una infraestructura relacionada y mensajes de phishing similares utilizados en ambas campañas, evidencia que sugiere que el mismo actor de amenaza está detrás de los dos, dijeron. Sin embargo, en la actualidad, no sabemos de qué región del mundo saluda el actor, ni quién podría estar detrás de la campaña.
Señuelos criptográficos falsos clásicos e infraestructura adaptable
Sentinellabs observó una variedad de señuelos de phishing utilizados en la campaña, incluido un “Aviso de consejos clásicos” que se dirige a las personas con un correo electrónico informándole que alguien conectado a su cuenta de un nuevo dispositivo. El correo electrónico incluye un enlace que sugiere que “toman medidas para proteger” su cuenta que en realidad conduce a un sitio que Phisse X de identificación, según la publicación.
Otros señuelos basados en correos electrónicos utilizan temas de violación de derechos de autor para llevar a los usuarios a hacer clic en una página de phishing que les pide que ingresen su información de identificación. En casos recientes, la página de phishing a la que las víctimas fueron redirigidas abusadas en el dominio “AMP Cache” por Google CDN.AMPROJET[.]Org para escapar de las detecciones de correos electrónicos comunes, según Sentinelabs.
La infraestructura utilizada en la cuenta sugiere que el actor detrás de la campaña es “muy adaptable, explorando continuamente nuevas técnicas mientras mantiene una razón financiera clara”, escribieron los investigadores.
Una actividad reciente utilizó el dominio Securelogins-X[.]com para entregar correos electrónicos y X-Recovesupporte[.]com para acomodar páginas de phishing. Como “una de estas áreas puede considerarse como una entrega por correo electrónico o alojamiento de páginas de phishing”, la actividad indica “un nivel de informalidad y flexibilidad en el uso de la infraestructura”, observaron los investigadores.
Los atacantes también organizaron una explosión de actividad reciente en una IP asociada con un servicio VPS basado en Belice llamado DataClub. Los campos asociados con la campaña se han registrado principalmente a través del proveedor de alojamiento turco Turkticaret, pero esto no es suficiente para confirmar que los atacantes son de Turquía, agregaron los investigadores.
Proteja sus cuentas sociales corporativas
Las cuentas X de alto nivel a menudo son objetivos para los actores de amenaza, ya que controlarlos puede ayudarlos a llegar a un público más amplio con actividades fraudulentas. A menudo, esta actividad implica estafas criptográficas dirigidas a fraude financiero, como un caso el año pasado En el que exigir la compañía de seguridad Control perdido temporalmente Desde su cuenta X hasta operadores de malware para drenar las criptomonedas.
“El panorama de las criptomonedas ofrece a los actores amenazas razonadas financieramente de múltiples posibilidades de ganancias y fraude”, señalaron investigadores en el puesto. “Si bien el marketing para piezas y tokens ha sido irreverente y ha centrado en los memes, los desarrollos recientes aún han difuminado la frontera entre proyectos legítimos y estafas”.
Para proteger una cuenta X, los investigadores recomendaron la evidencia: los usuarios deben mantener una buena higiene de contraseña utilizando una sola contraseña, permitiendo dos factores de autenticación (2FA) y evitar compartir la identificación de información con servicios de tercera parte.
Las personas también deben tener cuidado con los mensajes que contienen enlaces a alertas de cuenta o avisos de seguridad, y siempre verifique las URL antes de hacer clic en ella. Si sus cuentas necesitan restablecer la contraseña para fines de seguridad, solo deben lanzarse directamente a través del sitio web o la aplicación oficial en lugar de confiar en enlaces sin frases, han indicado a los investigadores.